Pci что это такое: Что такое PCI, PCIe, PCI Express?

Содержание

Что такое PCI DSS | Хостинг PCI DSS


Стандарт PCI DSS – это перечень требований, которые предъявляются к организациям для обеспечения сохранности сведений о держателях банковских карт. Их цель состоит в том, чтобы нивелировать возможность утечки конфиденциальных данных и денежных средств. Из статьи вы узнаете, к каким организациям предъявляются эти требования и что необходимо делать, чтобы им соответствовать.

Когда следует выполнять требования


Стандарт должен быть соблюден в том случае, если в процессе работы организация занимается хранением, обработкой или передачей третьим лицам номеров платёжных карточек. Сюда относятся любая из 5-ти международных платежных систем, являющихся членами Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover). Причём для соответствия стандарту обязательно выполнять требования на 100%.


Если предписания будут нарушены, компании не смогут пользоваться системами оплаты по международным картам, а текущие договоры с вышеперечисленными платежными системами будут расторгнуты.



Раздел 3 стандарта PCI DSS запрещает заниматься хранением критичных аутентификационных данных (сокращённо КАД), включающих TRACK, CVV2, PIN-код или PIN-block, после выполнения транзакции. Однако это не касается КАД эмитентов, когда данные требуются для авторизации транзакции. Также можно хранить номера банковских карточек (PAN), относящиеся к сведениям об их держателях (ДДК), однако такие данные следует защищать, как предписано требованиями стандарта. Все эти меры призваны исключить утечку чувствительных данных пользователей после проведения транзакций на сайте.



Если после авторизации происходит автоматическое сохранение важных аутентификационных данных, их следует удалить. В дальнейшем нужно настроить инфраструктуру так, чтобы подобные данные не оставались в системе.


Хранение номеров банковских карт может понадобиться компании для ведения бизнес-процессов, это менее рискованно, чем хранение КАД. Тем не менее, их также необходимо защитить и ограничить срок хранения с учётом потребностей бизнеса.


Стандарт PCI DSS, последняя версия которого (3.2.1) вышла в декабре 2018 года, включает 415 проверочные процедуры, входящие в 12 разделов:


1. Сохранение безопасности внутренней сети.


2. Конфигурация IT-инфраструктуры.


3. Сохранность информации о держателях карт.


4. Сохранность информации о держателях, которая передаётся третьим лицам.


5. Защита IT-инфраструктуры с помощью программ-антивирусов.


6. Построение и техподдержка информационных систем.


7. Настройки уровня доступа к информации о держателях карточек.


8. Способы аутентификации.


9. Физическая защита IT-инфраструктуры.


10. Ведение протоколов событий и действий.


11. Контроль степени защищенности IT-инфраструктуры.


12. Информационная безопасность



Это касается всех элементов IT-инфраструктуры, где происходит обработка, хранение и передача информации о держателях платёжных карт, а также соприкасающихся с ним IT-систем.



Полное руководство по защите персональных данных по ФЗ-152Скачать

С чего начать выполнение требований


Совет PCI SSC подготовил документ «Приоритетный подход к выполнению требований стандарта PCI DSS», который упростит для компаний составление плана работ. Он включает 6 этапов:


1. Удаление КАД и сокращение сроков хранения ДДК.


2. Работа по поддержанию безопасности внутренних и беспроводных сетей.


3. Защита приложений, БД и ОС.


4. Отслеживание и контроль доступа.


5. Обеспечение сохранности сведений.


6. Соблюдение информационной безопасности систем.

Как сократить область применимости PCI DSS


Для этого вы можете прибегнуть к следующим способам:

  • там, где возможно, избегать обработки, хранения и передачи информации о держателях банковских карт;

  • шифровать информацию о держателях;


    • изолировать смежные IT-системы, которые напрямую не участвуют в обработке, хранении и передаче сведений;

  • использовать токенизацию – вместо прямых сведений о держателях банковских карт применять уникальные идентификаторы, которые сами по себе не являются информацией о держателях карт.  Важно сохранить связь между начальными данными и созданным токеном.


Тестировать PCI DSS в облаке


Как подтверждать соответствие стандарту


Тип организации и число транзакций в расчётный год могут повлиять на требования PCI DSS. Организации делят на 2 типа: торгово-сервисные предприятия (именуемые мерчанты) и поставщики каких-либо услуг. Далее происходит деление по числу транзакций, выполненных за год. Мерчанты делятся на уровни от 1 (высшего) до 4 (низшего), а поставщики услуг – от 1 (высшего) до 2 (низшего). Но у каждой платёжной системы может быть собственная классификация, отличающаяся от упомянутой.


Эта классификация влияет на варианты подтверждения соответствия.



Банк-эквайер имеет право переопределить уровень компании с учётом собственной оценки рисков. При этом он будет считаться приоритетным перед уровнем, который определяется по классификации международной платежной системы.


Все компании, к которым применим PCI DSS, обязаны проходить проверки степени защищенности в независимых организациях. Сюда входит:

  • Проверка уязвимостей IT-инфраструктуры (ASV), которая должна проходить раз в четыре месяца сторонними организациями (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC.

  • Внешнее и внутреннее тестирование на проникновение (pentest). Осуществляются раз в год независимым специалистом.

  • Проверка степени защищенности внешних (публичных) веб-приложений.

Что собой представляет PCI DSS хостинг


Это услуга, которая способствует безопасному обращению банковских карт для организаций, чья инфраструктура размещается у сертифицированного PCI DSS хостера. Вся информация о платёжных средствах хранится и обрабатывается внутри этой инфраструктуры.


Сервис «PCI DSS хостинг» от Cloud4Y даёт компаниям возможность взаимодействовать с банками прямо через платежные интерфейсы банка и непосредственно интернет-предприятия. Благодаря этому можно исключить переход покупателя на сторонний сайт. Помимо этого, можно будет работать напрямую сразу с несколькими банками.  Cloud4Y также поможет выполнить аудит на соответствие всем необходимым стандартам.


Использование услуги PCI DSS хостинга закрывает основную часть требований стандарта. Иными словами, хостинг-провайдер выполняет значительную часть работ по соблюдению предписаний стандарта, включая физическую защиту серверов, администрирование IT-систем, обнаружение вторжений, аудит и многое другое.



Тестировать PCI DSS в облаке



pci dss hosting

Система антифрода, PCI DSS и PCI compliance: что это такое

Перейти к содержанию

Продукты Fondy

10 декабря, 202114 мин

Безопасность финансовых операций – важнейшее требование к работе платежного провайдера. Именно поэтому мы разработали технологию Fondy Protect, это наше фирменное решение для защиты предпринимателей от мошеннических операций, а покупателей – от подозрительных продавцов или сомнительных услуг.

В данном материале мы расскажем, какие меры безопасности применяются в сфере платежных карт, что такое PCI DSS и PCI compliance и какие существуют требования для соответствия этим стандартам, зачем нужна антифрод-технология и как задействованы другие решения, которые обеспечивают высочайшую степень защиты при использовании платежных сервисов Fondy.

Что такое PCI DSS и как его получить?

Популярность безналичных платежей в интернете растет с каждым годом, в некоторых странах их доля уже превышает 80% от общего числа выполняемых ежегодно финансовых операций. Но чем больше число транзакций, совершаемых с помощью банковских платежных карт (БПК), тем сильнее эта сфера привлекает преступников. И тем актуальнее стоит задача защиты денежных средств, находящихся на карточных счетах.

Чтобы предохранить потребителей от возможных махинаций c БПК, в 2004 году был учрежден Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, сокращенно – PCI SSC). Инициаторами его создания выступили международные платежные системы American Express, Visa, Mastercard, JCB и Discover. Силами совета был разработан документ с требованиями Payment Card Industry Data Security Standard (PCI DSS), стандарт безопасности индустрии платежных карт, его обязательно должны соблюдать любые организации, чья деятельность связана с карточными платежами. Если кратко, то PCI DSS – перечень требований и правил по защите данных о держателях БПК, обрабатываемых или хранимых в их информационных системах.

В конце 2004 года была презентована первая версия стандарта, сейчас актуальна версия PCI DSS 3.2.1, которую совет принял в мае 2018 года.

Стандарт выдвигает 12 подробно выписанных требований к тем организациям, которые имеют дело с данными БПК: банкам, торговым предприятиям, финансовым операторам, платежным шлюзам, таким как Fondy. То есть если вы хотите совершать операции с платежными картами, то должны выполнять указанные в PCI DSS требования.

Ниже представлены главные пункты PCI DSS по обеспечению безопасности информационных структур:

  1. Защита сетевой инфраструктуры с помощью межсетевого экрана
  2. Правильная конфигурация доступа в систему по паролям
  3. Защита конфиденциальных данных (номера карт и прочие данные), хранимых в системе, с помощью различных криптографических методов: шифрации, маскирования, хеширования, усечения
  4. Надежное шифрование всей конфиденциальной информации при использовании открытых каналов передачи
  5. Защита ІТ-систем от вредоносного кода и регулярное обновление антивирусных средств
  6. Оперативное исправление найденных в ІТ-системах уязвимостей
  7. Предоставление доступа к секретным данным только для уполномоченному персоналу
  8. Контроль доступа к критически важным системам посредством идентификации и аутентификации
  9. Физический доступ к хранилищам данных держателей карт могут получить только определенные сотрудники
  10. Контроль сеансов доступа к данным держателей карт и сетевым ресурсам
  11. Регулярная проверка систем и процессов, отвечающих за обеспечение безопасности, для своевременного нахождения новых уязвимостей
  12. Внедрение строгой политики информационной безопасности для сотрудников компании

Международные платежные системы (МПС) разрабатывают собственные требования подтверждения соответствия PCI DSS.

Что касается национальных платежных систем, то обычно они тоже требуют соответствия параметрам PCI DSS. Например, в украинской системе ПРОСТІР применяются стандарты, установленные МПС, такими как Visa и Mastercard.

О чем говорит термин PCI compliance и что нужно для соответствия ему

Если бизнес-процессы в компании каким-либо образом связаны с обработкой, хранением или передачей данных БПК, ей нужно соответствовать требованиям стандарта PCI DSS. На сегодня есть 4 уровня соответствия PCI (англ. PCI compliance). В зависимости от числа выполняемых ежегодно транзакций по картам определяется уровень, по которому предприятие проходит процедуру проверки.

Наиболее сложно пройти проверку 1-го уровня – это нужно делать организациям, которые ежегодно проводят свыше 6 млн транзакций. Уровень 2 предназначен для тех бизнесов, у которых число транзакций составляет от 1 до 6 млн. Уровень 3 ограничен цифрами от 20 тысяч до 1 млн транзакций в год. 4-й уровень – наименее сложный, его могут получить организации, выполняющие не более 20 тысяч транзакций в год.

Стоит заметить, что МПС применяют штрафные санкции для тех организаций, которые обязаны ежегодно подтверждать сертификат PCI compliance, однако своевременно не делают этого. Поэтому компании, работающие с Visa и Mastercard, каждый год проходят аудиторскую проверку на соответствие PCI DSS с последующим получением сертификата.

Как проходит сертификация

Для того, чтобы проверить, насколько компания соответствует основным требованиям PCI DSS, применяются следующие методы: внешний аудит при помощи квалифицированного оценщика, самостоятельное оценивание, которое компания проводит своими силами путем заполнения специальной анкеты. Выбор метода проверки зависит от типа и размера проверяемого предприятия.

Внешний аудит могут выполнить:

  • Квалифицированный эксперт по безопасности (Qualified Security Assessor, QSA) – независимый специалист или группа специалистов, которым совет PCI SSC предоставил полномочия контролировать и подтверждать соответствие организации стандарту PCI DSS.
  • Эксперт по оценке внутренней безопасности (Internal Security Assessor, ISA) – это специалист, который владеет сертификатом от совета PCI SSC и может выполнять проверку PCI compliance для своей организации. То есть ISA может оценивать соответствие стандарту исключительно для компании, в которой он работает.

Самооценка проводится следующим образом:

  • Отчет о соответствии (Report on Compliance, ROC) – мерчанты уровня 1 Visa, подпадающие под требования PCI DSS, должны заполнить специальную форму, которая позволит подтвердить их соответствие стандарту.
  • Анкета самооценки (Self-Assessment Questionnaire, SAQ) – опросный лист, содержащий от 22 до 329 вопросов, ответом на которые мерчанты и сервис-провайдеры могут сообщить о результатах самостоятельно выполненной проверки соответствия стандарту PCI DSS.

Потребитель может быть уверен в безопасности финансовых операций, если он пользуются платежными сервисами, сертифицированными согласно правилам стандарта PCI DSS.

Fondy соответствует требованиям PCI DSS 1-го уровня. С целью подтверждения сертификата компания каждый год проходит независимый QSA-аудит, а также ASV-сканирование каждые три месяца. Это подтверждает, что сервис защищает финансовую информацию клиентов на самом высоком уровне мировой индустрии платежных карт.

Подключите защищенную платежную платформу Fondy, нас выбрали десятки тысяч бизнесов по всему миру

Создать Fondy-aккаунт

Что такое антифрод и какова его роль в обеспечении безопасности платежей

Антифрод (от англ. anti-fraud) – это система для борьбы с мошенничеством при выполнении различных финансовых операций. В основу ее работы заложена оценка действий пользователя, транзакций с картой и прочего с точки зрения мошенничества. Технологически антифрод включает в себя набор стандартных, фирменных правил и фильтров, каждая транзакция проходит проверку по критериям, заложенным в этом наборе.

К стандартным правилам относятся такие процессы, как ограничение числа операций по одной БПК за определенный период времени, лимит на максимальную сумму разовой покупки по одной карте и прочее. Уникальные или фирменные правила у каждой системы свои, и они хранятся в секрете, чтобы мошенник, зная суть, не придумал способ, как обмануть сервис.

Качественный антифрод-сервис способен максимально быстро и точно распознать мошенника в интернете и заблокировать операцию.

Банки, МПС, процессинговые центры и платежные шлюзы в обязательном порядке обеспечивают подобные услуги для своих клиентов.

Какие стандарты и инструменты используются для безопасности платежей в мире и в Украине

Фирменная технология SecureCode от Mastercard проверяет, что оплату проводит именно владелец карточки. Когда последний покупает что-либо в интернете, на его мобильный номер приходит пароль в SMS. Транзакцию можно завершить только после ввода этого пароля. С технической точки зрения SecureCode аналогичен технологии 3D Secure (известной также как 3DS).

  • Visa Secure

Visa продвигает собственную технологию защиты оплат в интернете. Для подтверждения транзакции пользователя перенаправляют на защищенную страницу для ввода пароля, который знают только он и банк-эмитент. Пароль может быть как постоянным, так и одноразовым.

  • Протокол HTTPS

Использование протокола HTTPS подразумевает, что все данные, которые передаются между устройством пользователя и сайтом мерчанта, будут зашифрованы и защищены от перехвата или атак типа man-in-the-middle, то есть от искажения информации.

Какие технологии применяет Fondy для защиты платежей своих клиентов

Fondy Protect построена на ведущих мировых технологиях и стандартах в области кибербезопасности. Система содержит несколько уровней защиты, которые пресекают действия мошенников, но не препятствуют транзакциям добросовестных покупателей.

Fondy предлагает собственную продвинутую систему антифрода, которая проверяет все транзакции, проходящие через систему. Это самообучающееся решение, которое анализирует финансовые операции по более чем 300 факторам и сравнивает результаты с шаблоном поведения мошенников. Такой подход позволяет оперативно и надежно детектировать мошенничество. Мы отвечаем за безопасность платежей десятков тысяч бизнесов со всего мира, потому хорошо знаем, какие уловки используют преступники из разных стран.

Для подтверждения соответствия требованиям PCI DSS 1-го уровня Fondy нужно проходить независимый QSA-аудит раз в год и ASV-сканирование каждые три месяца.

Благодаря многоуровневой системе антифрода и строгому соответствию всех пунктов PCI DSS Level 1, Fondy защищает каждый этап платежа – от введения данных карты пользователем до поступления денег на счет мерчанта.

Кроме того, Fondy обеспечивает одинаковый уровень безопасности для любых методов оплаты, включая карты, Apple Pay и Google Pay или электронные кошельки.

Развивайте свой бизнес вместе с надежными платежными решениями Fondy

Создать Fondy-aккаунт

Хотите узнать больше?

Читайте другие полезные fintech-материалы от первоисточника

Определение, 12 требований, плюсы и минусы

Что такое соответствие PCI?

Соответствие индустрии платежных карт (PCI) требуется компаниями-эмитентами кредитных карт для обеспечения безопасности транзакций по кредитным картам в индустрии платежей. Соответствие индустрии платежных карт относится к техническим и операционным стандартам, которым следуют компании для обеспечения безопасности и защиты данных кредитных карт, предоставляемых держателями карт и передаваемых посредством транзакций по обработке карт.

Стандарты соответствия PCI разрабатываются и управляются Советом по стандартам безопасности PCI.

Ключевые выводы

  • Компании, которые следуют Стандартам безопасности данных индустрии платежных карт (PCI DSS), считаются соответствующими стандарту PCI.
  • Совет по стандартам безопасности PCI отвечает за разработку PCI DSS.
  • PCI DSS содержит 12 ключевых требований, 78 базовых требований и 400 тестовых процедур для обеспечения соответствия организаций требованиям PCI.
  • Соответствие стандарту PCI сокращает утечки данных, защищает данные держателей карт, позволяет избежать штрафов и улучшает репутацию бренда.
  • Соответствие PCI не требуется по закону, но считается обязательным в соответствии с судебным прецедентом.

Понимание соответствия PCI

Федеральная торговая комиссия (FTC) несет ответственность за надзор за обработкой кредитных карт, поскольку она подпадает под необходимость защиты прав потребителей и надзора. Хотя не обязательно существует нормативный мандат на соответствие PCI, он считается обязательным в судебном прецеденте.

В общем, соответствие PCI является основным компонентом протокола безопасности любой компании, выпускающей кредитные карты. Обычно это предписано компаниями, выпускающими кредитные карты, и обсуждается в сетевых соглашениях о кредитных картах.

Совет по стандартам PCI отвечает за разработку стандартов соответствия PCI. Эти стандарты применяются к процессингу продавцов, а также были расширены для определения требований к зашифрованным интернет-транзакциям. Другими ключевыми организациями, которые также связаны с установлением стандартов в индустрии кредитных карт, являются The Card Association Network и National Automated Clearing House (NACHA).

Требования к PCI Compliance

Стандарты соответствия PCI требуют от продавцов и других предприятий безопасного обращения с информацией о кредитных картах, что помогает снизить вероятность кражи конфиденциальной информации о финансовых счетах держателей карт. Если продавцы не обрабатывают информацию о кредитной карте в соответствии со стандартами PCI, информация о карте может быть взломана и использована для множества мошеннических действий. Кроме того, конфиденциальная информация о держателе карты может быть использована для мошенничества с идентификацией.

Быть совместимым с PCI означает последовательно придерживаться набора рекомендаций, установленных Советом по стандартам PCI. Соответствие PCI регулируется Советом по стандартам PCI, организацией, созданной в 2006 году для управления безопасностью кредитных карт.

Требования, разработанные Советом, известны как Стандарты безопасности данных индустрии платежных карт (PCI DSS). PCI DSS содержит 12 ключевых требований, 78 базовых требований и более 400 тестовых процедур.

Как стать совместимым с PCI

Чтобы соответствовать рекомендациям PCI, необходимо предпринять несколько шагов, которые считаются передовыми методами обеспечения безопасности. 12 основных шагов включают следующее:

  1. Внедрение брандмауэров для защиты данных
  2. Надлежащая защита паролем (например, 2FA)
  3. Защита данных держателей карт
  4. Шифрование передаваемых данных держателей карт
  5. Используйте антивирусное и антивирусное программное обеспечение
  6. Регулярно обновляйте программное обеспечение и обслуживайте системы безопасности
  7. Ограничение доступа к данным держателей карт
  8. Уникальные идентификаторы, назначенные тем, у кого есть доступ к данным
  9. Ограничить физический доступ к хранилищу данных
  10. Создание и мониторинг журналов доступа
  11. Проверка систем безопасности на регулярной основе
  12. Создайте документированную политику, которой можно следовать

Самая последняя версия PCI DSS была выпущена в мае 2018 года и называется версией 3. 2.1. В целом, шесть целей и 12 требований определяют ряд шагов, которым должны постоянно следовать обработчики кредитных карт. Компании сначала просят оценить свои сети и системы, которые включают инфраструктуру информационных технологий, бизнес-процессы и процедуры обработки кредитных карт.

Преимущества соответствия PCI

Постоянное обслуживание и оценка любых пробелов в безопасности также очень важны для предотвращения кражи конфиденциальной информации о держателях карт, такой как номера социального страхования и водительских прав, когда это возможно.

Компании обязаны регулярно предоставлять отчеты о соблюдении требований в рамках своих соглашений об обработке карт. Мониторинг, оценка и аудит стандартов безопасности данных индустрии платежных карт являются важной частью работы отдела безопасности компании.

Все компании, обрабатывающие информацию о кредитных картах, обязаны поддерживать соответствие PCI в соответствии с их соглашениями об обработке карт. Соответствие PCI является отраслевым стандартом, и бизнес без него может привести к значительным штрафам за нарушение соглашения и небрежность. Без соблюдения PCI компании также очень уязвимы для кражи, мошенничества и утечки данных.

95%

Процент нарушений кибербезопасности, вызванных человеческим фактором.

Преимущества соответствия включают снижение риска утечки данных, защиту данных держателей карт и, таким образом, предотвращение возможности кражи личных данных. Соблюдение нормативных требований является хорошей практикой для компаний, поскольку это снижает любые штрафы, связанные с утечкой данных, способствует укреплению репутации бренда компании, а клиенты остаются довольными и уверенными в том, что они имеют дело с ответственной компанией, что приводит к лояльности к бренду.

В первой половине 2020 года в результате утечки данных было раскрыто 36 миллиардов записей. Восемьдесят шесть процентов утечек были финансово мотивированы, а учитывая, что мировой рынок информационной безопасности, как ожидается, достигнет 170 миллиардов долларов в 2020 году, финансовый риск еще выше. Защита данных держателей карт полезна не только для бизнеса, но и является правильным решением, гарантируя, что люди не пострадают и не понесут финансовых потерь.

Недостатки несовместимости с PCI

Соответствие PCI является обязательным, если вы или ваша компания имеете дело с информацией о транзакциях по кредитным картам. В дополнение к повышенному риску утечки данных вы также можете подвергнуться штрафам, санкциям и потере возможности обрабатывать данные кредитной карты в будущем. Банки и платежные компании также могут принять решение не вести с вами дела, если вы не соответствуете требованиям PCI. Это может привести к потере продаж и запятнанному имиджу бренда.

Штрафы за несоблюдение требований начинаются с 5000 долларов США, но могут стоить до 500 000 долларов США за каждый инцидент или нарушение безопасности данных PCI. Кроме того, требуется, чтобы все лица, чья информация, как предполагается, была скомпрометирована, были уведомлены в письменной форме, чтобы быть в состоянии готовности к мошенническим обвинениям.

Примеры нарушения требований PCI и утечки данных

Соответствие требованиям PCI помогает избежать мошеннических действий и сводит к минимуму утечку данных. Verizon предоставляет ежегодную оценку безопасности платежей в своем «Отчете о безопасности платежей Verizon». В отчете за 2019 г. PCI DSS посвящен целый раздел под названием «Соответствие требованиям PCI DSS, 2019 г.: и 12 ключевых требований». Некоторые основные моменты PCI DSS из «Отчета Verizon о безопасности платежей за 2019 год» включают следующее:

  • 36,7% организаций активно поддерживали программы PCI DSS в 2018 г.
  • Азиатско-Тихоокеанский регион опередил Америку, Европу, Ближний Восток и Африку.
  • С точки зрения отрасли гостиничный бизнес несколько отстает от других секторов.

Часто задаваемые вопросы

Что означает PCI-совместимость?

PCI-совместимость означает, что любая компания или организация, которая принимает, передает или хранит личные данные держателей карт, соблюдает различные меры безопасности, изложенные Советом по стандарту безопасности PCI, для обеспечения безопасности и конфиденциальности данных.

Требуется ли соответствие требованиям PCI по закону?

Регламента, требующего соблюдения PCI, не существует, но, тем не менее, он считается обязательным на основании судебного прецедента.

Как добиться совместимости с PCI?

Чтобы стать совместимым с PCI, вы должны сначала определить, какую анкету самооценки вы должны пройти, чтобы стать совместимым. После того, как вы заполните анкету, вам необходимо будет заполнить и сохранить доказательства прохождения сканирования уязвимостей у утвержденного поставщика сканирования PCI SSC. Сканирование распространяется только на некоторых продавцов. Затем вам нужно будет пройти Аттестацию соответствия. Последним шагом будет предоставление всей вышеуказанной информации.

Кто должен соответствовать требованиям PCI?

Любая компания или организация, которая принимает, передает или хранит личные данные держателей карт.

Практический результат

Соответствие PCI относится к техническим и операционным стандартам, установленным Советом по стандартам безопасности PCI, которые организации должны внедрять и поддерживать. Соответствие стандарту PCI направлено на защиту данных держателей карт и распространяется на любую организацию, которая принимает, передает или хранит эти данные. Соответствие PCI — это хорошая деловая практика, поскольку она ставит безопасность данных потребителей на первое место, а также приносит пользу организации за счет положительной репутации бренда.

Каковы 12 требований соответствия PCI DSS?

Стандарт безопасности данных индустрии платежных карт (PCI DSS) требуется в соответствии с контрактом для тех, кто обрабатывает данные о держателях карт, независимо от того, являетесь ли вы стартапом или глобальным предприятием. Ваш бизнес всегда должен соответствовать требованиям, и ваше соответствие должно подтверждаться ежегодно. Обычно это предписано компаниями, выпускающими кредитные карты, и обсуждается в сетевых соглашениях о кредитных картах.

Совет по стандартам PCI (SSC) отвечает за разработку стандартов соответствия PCI. Его цель — помочь обезопасить и защитить всю экосистему платежных карт. Эти стандарты применяются к продавцам и поставщикам услуг, обрабатывающим платежные операции по кредитным/дебетовым картам.

Что такое соответствие PCI?

Соответствие индустрии платежных карт (PCI) требуется компаниями, выпускающими кредитные карты, для обеспечения безопасности транзакций по кредитным картам в индустрии платежей. Соответствие индустрии платежных карт относится к техническим и операционным стандартам, которым следуют компании для обеспечения безопасности и защиты данных кредитных карт, предоставляемых держателями карт и передаваемых посредством транзакций по обработке карт. Стандарты соответствия PCI разрабатываются и управляются Советом по стандартам безопасности PCI.

12 требований стандарта PCI DSS

Требования, установленные PCI SSC, являются как операционными, так и техническими, и основная цель этих правил всегда заключается в защите данных держателей карт.

12 требований PCI DSS:

  1. Установка и поддержание конфигурации брандмауэра для защиты данных держателей карт
  2. Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности
  3. Защита сохраненных данных держателей карт
  4. Шифровать передачу данных держателей карт через открытые общедоступные сети
  5. Используйте и регулярно обновляйте антивирусное программное обеспечение или программы
  6. Разработка и поддержка безопасных систем и приложений
  7. Ограничение доступа к данным о держателях карт по служебной необходимости
  8. Назначение уникального идентификатора каждому пользователю с доступом к компьютеру
  9. Ограничить физический доступ к данным держателей карт
  10. Отслеживание и мониторинг доступа к сетевым ресурсам и данным держателей карт
  11. Регулярно тестировать системы и процессы безопасности
  12. Поддерживать политику, касающуюся информационной безопасности для всего персонала

Прежде чем приступить к требованиям PCI DSS, вам также необходимо  узнать, как определить область применения PCI DSS. Крайне важно сократить объем аудита PCI DSS, поскольку это поможет снизить ваши расходы на соблюдение требований, операционные расходы и риски, связанные с взаимодействием с данными платежных карт.

Контрольный список требований соответствия стандарту PCI DSS
Загрузить сейчас

Требования PCI DSS 12 представляют собой набор мер безопасности, которые предприятия должны внедрить для защиты данных кредитных карт и соблюдения Стандарта безопасности данных индустрии платежных карт (PCI DSS).

Требование PCI DSS 1. Установка и поддержание конфигурации брандмауэра для защиты данных о держателях карт

Это первое требование гарантирует, что поставщики услуг и продавцы поддерживают безопасную сеть посредством правильной настройки брандмауэра, а также маршрутизаторов, если это применимо. Правильно настроенные брандмауэры защищают среду данных вашей карты. Брандмауэры ограничивают входящий и исходящий сетевой трафик с помощью правил и критериев, настроенных вашей организацией.

Брандмауэры обеспечивают первую линию защиты вашей сети. Организации должны установить стандарты брандмауэров и маршрутизаторов, которые позволяют стандартизировать процесс разрешения или запрета правил доступа к сети. Правила конфигурации должны пересматриваться раз в два года и обеспечивать отсутствие небезопасных правил доступа, которые могут разрешить доступ к среде данных карты.

Требование PCI DSS 2: Не используйте значения по умолчанию, предоставленные поставщиком для системных паролей и других параметров безопасности

Он предназначен для защиты систем вашей организации, таких как серверы, сетевые устройства, приложения, брандмауэры, точки беспроводного доступа и т. д. Большинство операционных систем и устройств поставляются с заводскими настройками по умолчанию, такими как имена пользователей, пароли и другие небезопасные параметры конфигурации. . Эти стандартные имена пользователей и пароли легко угадать, и большинство из них даже публикуются в Интернете.

Такие пароли по умолчанию и другие параметры безопасности недопустимы в соответствии с этим требованием. Это требование также требует инвентаризации всех систем, процедур настройки/укрепления. Эти процедуры необходимо выполнять каждый раз, когда в ИТ-инфраструктуру внедряется новая система.

 

Требование PCI DSS 3: Защита хранимых данных держателей карт

Это самое важное требование стандарта PCI. Согласно требованию 3, вы должны сначала знать все данные, которые вы собираетесь хранить , , а также их местоположение и срок хранения. Все такие данные о держателях карт должны быть зашифрованы с использованием общепринятых алгоритмов (например, AES-256, RSA 2048), усечены, токенизированы или хэшированы (например, SHA 256, PBKDF2). Наряду с шифрованием данных карты это требование также говорит о надежном процессе управления ключами шифрования PCI DSS.

Часто поставщики услуг или продавцы не знают, что они хранят незашифрованные номера основных счетов (PAN), и поэтому использование такого инструмента, как обнаружение данных карты, становится важным. Обратите внимание, что распространенными местами, где находятся данные карты, являются файлы журналов, базы данных, электронные таблицы и т. д. Это требование также включает правила отображения основных номеров счетов, такие как раскрытие только первых шести и последних четырех цифр.

 

Требование 4 стандарта PCI DSS: шифровать передачу данных держателей карт через открытые общедоступные сети

Аналогично требованию 3, в этом требовании вы должны защитить данные карты при их передаче по открытой или общедоступной сети (например, Интернет, 802.11, Bluetooth, GSM, CDMA, GPRS). Вы должны знать, куда вы собираетесь отправлять/получать данные карты. В основном данные карты передаются платежному шлюзу, процессору и т. д. для обработки транзакций.

Киберпреступники потенциально могут получить доступ к данным держателей карт, когда они передаются по общедоступным сетям. Шифрование данных о держателях карт перед передачей с использованием защищенной версии протоколов передачи, таких как TLS, SSH и т. д., может снизить вероятность компрометации таких данных.

 

Требование 5 PCI DSS. Используйте и регулярно обновляйте антивирусное программное обеспечение или программы

Это требование направлено на защиту от всех типов вредоносных программ, которые могут поражать системы. Все системы, включая рабочие станции, ноутбуки и мобильные устройства, которые сотрудники могут использовать для доступа к системе как локально, так и удаленно, должны иметь развернутое антивирусное решение. Вы должны убедиться, что антивирусные программы или программы защиты от вредоносных программ регулярно обновляются для обнаружения известных вредоносных программ. Наличие обновленной программы защиты от вредоносных программ предотвратит заражение систем известными вредоносными программами.

Убедитесь, что антивирусные механизмы всегда активны, используют последние сигнатуры и создают проверяемые журналы.

 

Требование 6 PCI DSS: Разработка и поддержка безопасных систем и приложений

Важно определить и внедрить процесс, позволяющий выявлять и классифицировать риски уязвимостей безопасности в среде PCI DSS с помощью надежных внешних источников. Организации должны ограничивать возможность эксплойтов, своевременно развертывая критические исправления. Пропатчить все системы в среде карточных данных, в том числе:

  • Операционные системы
  • Межсетевые экраны, маршрутизаторы, коммутаторы
  • Прикладное программное обеспечение
  • Базы данных
  • POS-терминалы

Кроме того, требуется определить и внедрить процесс разработки, включающий требования безопасности на всех этапах разработки.

Нужна помощь с внедрением PCI DSS? Наши QSA могут помочь.

 

Требование PCI DSS 7. Ограничение доступа к данным о держателях карт для бизнеса

Для реализации строгих мер контроля доступа поставщики услуг и продавцы должны иметь возможность разрешать или запрещать доступ к системам данных держателей карт. Это требование касается управления доступом на основе ролей (RBAC), которое предоставляет доступ к данным карты и системам по мере необходимости.

«Необходимо знать» — это фундаментальная концепция стандарта PCI DSS. Система контроля доступа (например, Active Directory, LDAP) должна оценивать каждый запрос, чтобы предотвратить раскрытие конфиденциальных данных тем, кому эта информация не нужна. У вас должен быть документированный список всех пользователей с их ролями, которым необходим доступ к среде карточных данных. Этот список должен содержать каждую роль, определение роли, текущий уровень привилегий, ожидаемый уровень привилегий и ресурсы данных для каждого пользователя для выполнения операций с данными карты.

 

Требование 8 стандарта PCI DSS: присваивайте каждому лицу, имеющему доступ к компьютеру, уникальный идентификатор

В соответствии с требованием 8 вы не должны использовать общих/групповых пользователей и пароли. Каждый авторизованный пользователь должен иметь уникальный идентификатор, а пароли должны быть достаточно сложными. Это гарантирует, что всякий раз, когда кто-то получает доступ к данным держателя карты, эта активность может быть отслежена до известного пользователя, и может поддерживаться подотчетность. Для всего неконсольного административного доступа (удаленный доступ) требуется двухфакторная авторизация.

 

Требование 9 PCI DSS: ограничение физического доступа к данным о держателях карт

Это требование направлено на защиту физического доступа к системам с данными о держателях карт. Без контроля физического доступа неавторизованные лица могут получить доступ к установке, чтобы украсть, отключить, прервать или уничтожить важные системы и данные держателей карт.

Требуется использование видеокамер/электронного контроля доступа для наблюдения за входными и выходными дверями физических мест, таких как центр обработки данных. Записи или журналы доступа персонала должны храниться не менее 90 дней. Вам необходимо реализовать процесс доступа, позволяющий различать авторизованных посетителей и сотрудников. Все съемные или портативные носители, содержащие данные о держателях карт, должны быть физически защищены. Нужно уничтожать все носители, когда бизнес уже не нужен.

 

Требование PCI DSS 10: Отслеживание и мониторинг всех случаев доступа к сетевым ресурсам и данным держателей карт

Уязвимости в физических и беспроводных сетях упрощают киберпреступникам кражу данных карт. Это требование требует, чтобы все системы имели правильную политику аудита и отправляли журналы на централизованный сервер системных журналов. Эти журналы необходимо просматривать не реже одного раза в день для выявления аномалий и подозрительных действий.

Инструменты мониторинга информации и событий безопасности (SIEM) могут помочь вам регистрировать системные и сетевые действия, отслеживать журналы и предупреждать о подозрительной активности. PCI DSS также требует, чтобы записи контрольного журнала соответствовали определенному стандарту в отношении содержащейся в них информации. Требуется синхронизация времени. Данные аудита должны быть защищены, и такие данные должны храниться не менее года.

 

Требование PCI DSS 11: регулярно тестировать системы и процессы безопасности

Злоумышленники и исследователи постоянно обнаруживают уязвимости. Поэтому все системы и процессы необходимо регулярно тестировать, чтобы гарантировать поддержание безопасности.

Требуются следующие периодические действия:

  1. Сканирование анализатора беспроводной сети для обнаружения и идентификации всех авторизованных и неавторизованных точек беспроводного доступа ежеквартально.
  2. Все внешние IP-адреса и домены, представленные в CDE, должны сканироваться одобренным PCI поставщиком средств сканирования (ASV) не реже одного раза в квартал.
  3. Внутреннее сканирование уязвимостей должно проводиться не реже одного раза в квартал.
  4. Все внешние IP-адреса и домены должны проходить исчерпывающее тестирование на проникновение приложений и тестирование на проникновение в сеть не реже одного раза в год или после любого существенного изменения.

Мониторинг файлов тоже необходим. Каждую неделю система должна выполнять сравнение файлов, чтобы обнаруживать изменения, которые в противном случае могли бы остаться незамеченными.

 

Требование PCI DSS 12: Поддерживать политику, направленную на обеспечение информационной безопасности для всего персонала

Это последнее требование соответствия PCI, и оно посвящено основной цели PCI DSS по внедрению и поддержанию политики информационной безопасности для всех сотрудников и других соответствующих сторон. Политика информационной безопасности должна пересматриваться не реже одного раза в год и распространяться среди всех сотрудников, поставщиков/подрядчиков. Пользователи должны прочитать политику и принять ее.

Это требование также требует от вас выполнения:

  1. Ежегодной формальной оценки рисков, которая выявляет критически важные активы, угрозы и уязвимости.
  2. Обучение пользователей
  3. Проверка биографических данных сотрудников
  4. Управление инцидентами

Все эти требования рассматриваются QSA и проверяется их адекватное выполнение.

Соответствие стандарту PCI DSS непросто — даже для компаний с самыми лучшими намерениями.